הרשות להגנת הפרטיות מגבירה את האכיפה על אירועי אבטחת מידע חמורים

"מקרים שבהם יתגלו ממצאים חמורים באופן הטיפול באירועי אבטחת מידע ולא ידווחו לרשות, עלולים להוביל לסנקציה האוסרת את המשך השימוש במידע ובכך לגרום לפגיעה משמעותית בפעילות העסקית של הגוף המפר", כך הודיע (28.1.19) עו"ד עלי קלדרון, הממונה על האכיפה המנהלית ברשות להגנת הפרטיות, במסגרת הגברת האכיפה של תקנות אבטחת המידע, ולכבוד יום ההגנה על הפרטיות העולמי, שצוין באותו מועד.

תקנות הגנת הפרטיות (אבטחת המידע) שנכנסו לתוקף במאי 2018, קובעות כי על כל בעל מאגר מידע חלה חובה לאבטח את מאגרו לפי הסטנדרט שנקבע בתקנות, וזאת לפי רמת האבטחה הנדרשת בהתאם לגודל המאגר ואופי המידע המצוי בו (נמוכה, בינונית וגבוהה). כמו כן, במקרה של גילוי אירוע אבטחה חמור על-ידי בעל מאגר המידע, התקנות קובעות כי עליו להודיע לרשות מידית, כאשר הרשות קבעה כי מדובר בהודעה שתינתן תוך 72 שעות. בהודעה, על בעל המאגר גם לדווח על הצעדים שנקט. הרשות קבעה כי על התקנות תחול תקופת הטמעה ראשונית עד דצמבר 2018 במטרה לאפשר לגופים ולחברות במשק להיערך באופן מיטבי לקראת כניסתן.

כעת, עם סיום תקופת ההטמעה הראשונית, נכנסת לתוקף תקופת ביניים שבה תוגבר האכיפה במקרים של הפרת תקנות אלה. במסגרת הגברת האכיפה, הרשות מדגישה כי תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה שבו יימצא כי התקנות הופרו, למעט במקרים קלים. כאשר תמצא הרשות ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת מידע, לרבות מקרי הימנעות מדיווח והסתרה, הרשות תפעל במלוא החומרה כנגד הגורם המפר ואף תשקול את ביטול רישומו של מאגר המידע באופן האוסר על השימוש במידע.

החל ממועד כניסתן לתוקף של התקנות במאי 2018, נערכו 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים מצד הרשות (כאשר רק 45 מתוכן דווחו לרשות). מנתונים שפרסמה הרשות, עולה כי הסיבות השכיחות ביותר לקיומו של אירוע אבטחה חמור הן תקיפות סייבר (כ-35%), טעויות אנוש (15%) ושימוש לרעה (7%). מרבית אירועי האבטחה החמורים התרחשו בחברות מערכות מידע (31%), למשל חברות היי-טק, חברות ביטוח ופיננסים (15%) וגופים ציבוריים (11%). עוד עולה כי בכ-35% מהאירועים מדובר במאגרי מידע הכוללים מידע אישי אודות למעלה מ-100,000 אנשים, וסוגי המידע שדלפו הם מידע אישי (79%), למשל פרטי לקוחות, מידע פיננסי (10%) ומידע רפואי (6%), למשל מצב רפואי ותוצאות בדיקות.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

חברת ביוטכנולוגיה ענקית – תשלם 4.5 מיליון דולר לשלוש מדינות בארה"ב בגין אירוע אבטחת מידע

שלוש מדינות בארה"ב הודיעו על תשלום של 4.5 מיליון דולר מחברת Enzo Biochem Inc. – חברת ביוטכנולוגיה (להלן "החברה") שספגה מתקפת כופר באפריל 2023 בשל ...

תיקון 13 לחוק הגנת הפרטיות – המדריך

היסטוריה בעולם הפרטיות הישראלי. הכנסת אישרה לאחרונה את תיקון מס' 13, לחוק הגנת הפרטיות, התשמ"א-1981 (05.08.2024) להלן "התיקון לחוק" ו-"החוק", בהתאמה) (אשר נספר בכנסת עקב ...

אושר תיקון 13 לחוק הגנת הפרטיות

מליאת הכנסת אישרה (05.08.24) בקריאה שניה ושלישית את תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981. התיקון התקבל לאחר שוועדת חוקה חוק ומשפט של הכנסת הקדישה לו ...

ועדת חוקה אישרה את התיקון המקיף לחוק הגנת הפרטיות

ועדת חוקה חוק ומשפט של הכנסת אשירה (21.07.2024) תיקון מקיף והיסטורי לחוק הגנת הפרטיות (תיקון מס' 13 שבטעות נספר תחילה כתיקון 14) והוא צפוי לעבור ...
דילוג לתוכן